PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. lapkričio 14 d.

įsakymu Nr. 3D-803

Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) techninės, programinės įrangos funkcionavimą, saugų LitPOS elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“, (toliau – LitPOS nuostatai) ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338 (toliau – LitPOS saugos nuostatai).

3. Tvarkymo taisyklėse vartojamos sąvokos:

3.1. LitPOS valdytoja – Lietuvos Respublikos žemės ūkio ministerija.

3.2. LitPOS tvarkytojai – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ (toliau – VĮ „GIS-Centras“) ir Vilniaus Gedimino technikos universitetas (toliau – VGTU).

3.3. LitPOS administratorius – LitPOS tvarkytojo VĮ „GIS-Centras“ vadovo įsakymu paskirtas asmuo, prižiūrintis LitPOS, užtikrinantis jo veikimą ir LitPOS elektroninės informacijos saugą.

3.4. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą LitPOS.

3.5. LitPOS kibernetinio saugumo vadovas – LitPOS tvarkytojo VĮ „GIS-Centras“ vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.

3.6. LitPOS naudotojas – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją.

3.7. LitPOS paslaugų gavėjai – fiziniai asmenys ir juridinių asmenų atstovai, naudojantys globalinės padėties nustatymo sistemos įrangą objektų erdvinei padėčiai nustatyti (LitPOS naudojantys asmenys).

3.8. Kitos Tvarkymo taisyklėse vartojamos sąvokos atitinka Tvarkymo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. LitPOS tvarkoma informacija yra skirstoma į šias kategorijas:

4.1. LitPOS administratoriaus tvarkoma informacija;

4.2. LitPOS naudotojų tvarkoma informacija.

5. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 4 punkte nurodytoms kategorijoms, sąrašas:

5.1. LitPOS administratoriaus tvarkoma informacija:

5.1.1. LitPOS naudotojų ir LitPOS paslaugų gavėjų teisės;

5.1.2. LitPOS techninės ir programinės įrangos parametrai;

5.1.3. registruoti elektroninės paslaugos, programinės įrangos saugos incidentai;

5.1.4. LitPOS naudotojų ir LitPOS paslaugų gavėjų veiksmų registravimo duomenys;

5.1.5. rezervinės kopijos.

5.2. LitPOS naudotojų tvarkoma informacija - LitPOS duomenys, nurodyti LitPOS nuostatų 16.1–16.10 papunkčiuose.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

6. Saugiam LitPOS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

7. LitPOS naudojamų svetainių saugos priemonės:

7.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

7.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio LitPOS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

7.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

7.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

7.5. svetainių sauga turi būti vertinama LitPOS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo LitPOS saugos nuostatų II skyriuje nustatyta tvarka, metu.

8. Kompiuterinės įrangos saugos priemonės:

8.1. prieigos prie LitPOS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie LitPOS tarnybinių stočių teises tik LitPOS administratoriui;

8.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

8.3. LitPOS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka LitPOS tvarkytojai;

8.4. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale;

9. LitPOS sisteminės ir taikomosios programinės įrangos (toliau – LitPOS programinė įranga) saugos priemonės:

9.1. naudojama legali LitPOS programinė įranga;

9.2. LitPOS programinės įrangos diegimą atlieka tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

9.3. LitPOS programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

9.4. LitPOS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas LitPOS tvarkytojas;

9.5. neautorizuotos programinės įrangos įdiegimo į LitPOS naudotojų kompiuterius ribojimas bei nuolatinis naudojamos LitPOS programinės įrangos stebėsenos vykdymas, už kurį atsakingas LitPOS tvarkytojas;

9.6. kompiuterinėse LitPOS naudotojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

9.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

9.8. prisijungimo duomenis, suteikiančius teisę dirbti su LitPOS tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik LitPOS administratorius;

9.9. prieigos teisė dirbti su LitPOS programine įranga suteikiama LitPOS naudotojams Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklėse (toliau – LitPOS naudotojų administravimo taisyklės) nustatyta tvarka;

9.10. LitPOS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;

9.11. LitPOS naudotojų tapatybei, LitPOS naudotojų veiksmams, atliekamiems LitPOS, nustatyti taikomos programinės priemonės;

9.12. LitPOS naudotojui 15 minučių neatliekant jokių veiksmų LitPOS, LitPOS programinė įranga užsirakina; toliau naudotis LitPOS LitPOS naudotojas gali tik pakartotinai patvirtinęs savo tapatybę;

9.13. LitPOS administratoriaus taikomos perspėjimo, kad LitPOS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, programinės priemonės.

10. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

10.1. LitPOS naudotojai ir LitPOS paslaugų gavėjai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra LitPOS, naudodamas unikalius atpažinties prisijungimo duomenis;

10.2. LitPOS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

10.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. virtual private network);

10.4. nuotolinis prisijungimas prie LitPOS turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti.

10.5. LitPOS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

10.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų LitPOS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

10.5.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) LitPOS administratoriui;

10.5.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

10.5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu LitPOS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio LitPOS veiklai vertinimas (testavimas);

10.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo LitPOS techninės įrangos;

10.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

10.6.1. leidžiama naudoti tik su LitPOS saugos įgaliotiniu ir LitPOS kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

10.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, LitPOS tvarkytojų kontroliuojamose zonose;

10.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar LitPOS tvarkytojų eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

10.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

10.6.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojami LitPOS saugos įgaliotinis ir LitPOS kibernetinio saugumo vadovas;

10.6.6. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

10.6.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;

10.6.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

10.7. elektroninis paštas naudojamas LitPOS tvarkytojų patvirtintuose dokumentuose nustatyta tvarka.

11. Patalpų, kuriose yra LitPOS tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

11.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

11.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

11.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

11.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

11.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

11.6. patekti į patalpas gali tik LitPOS tvarkytojo vadovo įgalioti asmenys, o kiti asmenys patekti į šias patalpas gali tik lydimi LitPOS tvarkytojo vadovo paskirto įgalioto asmens ir užsiregistravę Patekimo į patalpas žurnale;

11.7. LitPOS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus LitPOS administratoriui;

11.8. LitPOS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

11.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina LitPOS tarnybinių stočių įrangos veikimą ne trumpiau nei 10 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;

11.10. ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

11.11. įgyvendintos gamintojo nustatytos LitPOS tarnybinių stočių techninės įrangos darbo sąlygos;

11.12. patalpose palaikoma +22 (±5) º C temperatūra ir 50 (±10) % santykinis oro drėgnumas.

12. LitPOS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

12.1. programiniu būdu registruojami LitPOS naudotojų, LitPOS paslaugų gavėjų veiksmai su LitPOS duomenimis;

12.2. LitPOS naudotojams suteikiamos prieigos prie LitPOS teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

12.3. LitPOS tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienerius metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir LitPOS naudotojo unikalius atpažinties prisijungimo duomenis, apie:

12.3.1. LitPOS tarnybinių stočių ir LitPOS įjungimą bei išjungimą;

12.3.2. sėkmingus ir nesėkmingus bandymus registruotis LitPOS tarnybinėse stotyse ir LitPOS;

12.3.3. bandymus prieiti prie LitPOS informacinių išteklių;

12.3.4. kitus svarbius su LitPOS tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

13. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

13.1. LitPOS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik LitPOS naudotojai, turintys teisę tai atlikti;

13.2. LitPOS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis LitPOS nuostatais ir LitPOS saugos nuostatais.

14. LitPOS naudotojų, LitPOS paslaugų gavėjų veiksmų registravimo tvarka:

14.1. LitPOS naudotojų, LitPOS paslaugų gavėjų tapatybė ir veiksmai su LitPOS duomenimis turi būti įrašomi automatiniu būdu Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolat veikiančių stočių tinklo duomenų bazės veiksmų žurnale (toliau – LitPOS duomenų bazės veiksmų žurnalas), apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

14.2. LitPOS duomenų bazės veiksmų žurnalo duomenys gali būti prieinami tik LitPOS administratoriui.

15. Prarasti, iškraipyti ar sunaikinti LitPOS duomenys turi būti atkuriami iš atsarginių LitPOS duomenų kopijų. Atsarginės LitPOS duomenų kopijos daromos ir saugomos, o LitPOS duomenys atkuriami iš atsarginių LitPOS duomenų kopijų tokia tvarka:

15.1. už atsarginių LitPOS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių LitPOS duomenų kopijų apsaugą yra atsakingas LitPOS administratorius, kurio funkcijos aprašytos LitPOS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose LitPOS darbą;

15.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad LitPOS duomenų praradimo atveju visišką LitPOS funkcionalumą ir veiklą būtų galima atstatyti per 24 valandas;

15.3. LitPOS duomenys atsarginėse kopijose turi būti užkoduoti;

15.4. LitPOS duomenų atsarginių kopijų darymas turi būti fiksuojamas Atsarginių kopijų darymo žurnale;

15.5. LitPOS duomenų saugykloje realiu laiku turi būti dubliuojami visi LitPOS duomenys;

15.6. LitPOS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti daromos vieną kartą per ketvirtį;

15.7. LitPOS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje, nei yra LitPOS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;

15.8. visiški ir (ar) daliniai LitPOS duomenų atkūrimo bandymai turi būti vykdomi vieną kartą per metus;

15.9. išsamūs ir (ar) daliniai LitPOS duomenų atkūrimo bandymai turi būti vykdomi ne darbo valandomis ir prieš tai elektroniniu paštu informavus visus LitPOS naudotojus, LitPOS paslaugų gavėjus;

15.10. už išsamius ir (ar) dalinius LitPOS duomenų atkūrimo bandymus yra atsakingi LitPOS administratorius ir LitPOS saugos įgaliotinis. LitPOS administratorius su LitPOS saugos įgaliotiniu turi parengti ir suderinti visiško ir dalinio LitPOS duomenų atkūrimo bandymų metodus ir užtikrinti atsarginių LitPOS duomenų kopijų saugojimą ir atsarginių LitPOS duomenų kopijų darymo kontrolę.

16. LitPOS duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:

16.1. už LitPOS naudotojų, LitPOS paslaugų gavėjų administravimą ir iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą LitPOS yra atsakingas LitPOS administratorius;

16.2. duomenų mainai tarp LitPOS ir susijusių registrų ir kitų informacinių sistemų turi būti vykdomi sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

16.3. likviduojant LitPOS, jo elektroninė informacija turi būti saugiai perduodama kitai valstybės informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

17. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

17.1. LitPOS administratorius, užtikrindamas LitPOS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas LitPOS ir jame tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

17.2. LitPOS naudotojas, LitPOS paslaugų gavėjai įtarę, kad su LitPOS duomenimis buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai LitPOS administratoriui. LitPOS administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su LitPOS duomenimis, pasinaudojęs LitPOS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su LitPOS programine įranga ir (ar) duomenimis;

17.3. LitPOS administratorius, įtaręs, kad su LitPOS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti LitPOS saugos įgaliotiniui ir LitPOS kibernetinio saugumo vadovui;

17.4. LitPOS saugos įgaliotinis ar LitPOS kibernetinio saugumo vadovas, gavęs LitPOS administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su LitPOS arba LitPOS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plane.

18. LitPOS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir LitPOS funkcijų pokyčių (toliau – LitPOS pokyčiai) valdymo tvarka:

18.1. LitPOS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar LitPOS pokyčius, atsižvelgdamas į konkretų atvejį, derina LitPOS administratorius arba jie aprašomi paslaugų, susijusių su LitPOS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

18.2. prieš atlikdamas LitPOS pokyčius, kurių metu gali iškilti grėsmė LitPOS duomenų ir LitPOS konfidencialumui, vientisumui ar pasiekiamumui, LitPOS administratorius privalo planuojamus LitPOS pokyčius ištestuoti;

18.3. įvertinamas LitPOS pokyčių potencialus poveikis, įskaitant poveikį saugumui;

18.4. numatomos LitPOS veiklos atkūrimo procedūros nesėkmingų LitPOS pokyčių atlikimo atvejais;

18.5. atlikęs vykdomų LitPOS pokyčių testavimą ir raštu gavęs LitPOS valdytojo vadovo arba jo paskirto asmens sutikimą, LitPOS administratorius gali pradėti įgyvendinti LitPOS pokyčius;

18.6. planuodamas LitPOS pokyčius, kurių metu galimi LitPOS veikimo sutrikimai, LitPOS administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki LitPOS pokyčių vykdymo pradžios LitPOS interneto svetainėje informuoti LitPOS paslaugų gavėjus apie tokių darbų pradžią ir galimus LitPOS veikimo sutrikimus.

19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų LitPOS naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

19.1. išnešti iš LitPOS valdytojo ar LitPOS tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai turi būti saugomi;

19.2. iš LitPOS valdytojo ar LitPOS tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

19.3. duomenys, perduodami tarp mobiliojo įrenginio ir LitPOS, turi būti šifruojami;

19.4. mobilusis įrenginys, kuriuo nesinaudojama 10 minučių, turi automatiškai užsirakinti;

19.5. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y., esant techninėms galimybėms, turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;

19.6. prieš perduodant mobilųjį įrenginį LitPOS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

19.7. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

19.8. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.

IV SKYRIUS

REIKALAVIMAI, KELIAMI LitPOS FUNKCIONUOTI
REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. LitPOS valdytojas ar tvarkytojas, pirkdami paslaugas, darbus ar įrangą, susijusius su LitPOS, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

21. Paslaugų teikėjų prieigos prie LitPOS lygiai ir sąlygos:

21.1. LitPOS administratorius suteikia prieigos prie LitPOS duomenų teisę (peržiūrėti LitPOS duomenis, atlikti užklausas LitPOS vykdyti veiksmus su LitPOS duomenimis ir kt.), fizinę prieigą prie LitPOS techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka paslaugų teikėjo funkcijoms atlikti;

21.2. LitPOS administratorius, suteikdamas prieigos prie LitPOS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su LitPOS nuostatais, LitPOS saugos nuostatais ir kitais LitPOS saugos politiką įgyvendinančiais dokumentais;

21.3. pasibaigus paslaugų teikimo sutarties galiojimui ar šią sutartį nutraukus, LitPOS administratorius nedelsdamas, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie LitPOS duomenų teisę ir apie tai jį informuoja.

22. Reikalavimai LitPOS tarnybinių stočių patalpų, LitPOS programinės įrangos, LitPOS priežiūrai ir kitoms paslaugoms:

22.1. reikalavimai paslaugų teikėjams ir jų teikiamoms LitPOS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

22.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja LitPOS programinę įrangą, naudodamas:

22.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

22.2.2. LitPOS tęstinės duomenų bazės duomenis (LitPOS programinei įrangai modifikuoti);

22.2.3. tik sertifikuotą LitPOS programinę įrangą;

22.3. LitPOS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė atsižvelgiant į šių sistemų veiklai keliamus reikalavimus turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

23. LitPOS sauga turi būti vertinama LitPOS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo LitPOS saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su LitPOS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos LitPOS kibernetiniam saugumui, vertinimas.

24. LitPOS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:

24.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su LitPOS valdytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

24.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

24.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

24.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojos įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

25. LitPOS naudotojai, LitPOS saugos įgaliotinis, LitPOS kibernetinio saugumo vadovas ir LitPOS administratorius, pažeidę šių Tvarkymo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. lapkričio 14 d.

įsakymu Nr. 3D-803

Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) administratoriaus, LitPOS saugos įgaliotinio, LitPOS kibernetinio saugumo vadovo ir kitų asmenų veiksmus, esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu iškyla pavojus LitPOS duomenims, LitPOS techninės, programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“ ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338.

3. Valdymo plane vartojamos sąvokos:

3.1. LitPOS valdytoja – Lietuvos Respublikos žemės ūkio ministerija.

3.2. LitPOS tvarkytojai – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ (toliau – VĮ „GIS-Centras“) ir Vilniaus Gedimino technikos universitetas (toliau – VGTU).

3.4. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą LitPOS.

3.6. LitPOS naudotojas – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją.

3.7. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie LitPOS galimybę, sutrikdyti ar pakeisti LitPOS veiklą, sunaikinti ar pakeisti LitPOS duomenis, panaikinti ar apriboti galimybę naudotis LitPOS duomenimis, sudaryti sąlygas neteisėtai panaudoti ar pasisavinti LitPOS duomenis.

3.8. Kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Valdymo plano reikalavimai privalomi LitPOS valdytojui, LitPOS tvarkytojui, LitPOS saugos įgaliotiniui, LitPOS administratoriui, LitPOS kibernetinio saugumo vadovui, visiems LitPOS naudotojams, naudojantiems LitPOS įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi LitPOS duomenys.

5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus LitPOS duomenims, LitPOS techninės, programinės įrangos funkcionavimui.

6. LitPOS saugos įgaliotinio, LitPOS kibernetinio saugumo vadovo ir LitPOS administratoriaus veiksmai įvykus elektroninės informacijos saugos (kibernetiniam) incidentui yra nurodyti Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo detaliajame plane (1 priedas).

7. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad LitPOS veikla atkurta:

8.1. LitPOS duomenų išsaugojimas;

8.2. LitPOS duomenų atnaujinimas;

8.3. nuolatinis LitPOS duomenų teikimas fiziniams, juridiniams asmenims, ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

9. Neveikiant LitPOS ar veikiant iš dalies, jo veikla turi būti atkurta per 24 val. Atkuriama pagal Valdymo plane numatytus pirmaeilius veiksmus (3 priedas).

10. LitPOS prieinamumas turi būti užtikrintas ne mažiau kaip 70 procentų paros laiko.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

11. LitPOS tvarkytojas, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:

11.1. užtikrina LitPOS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

11.2. informuoja Nacionalinį kibernetinio saugumo centrą apie LitPOS įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (4 priedas) numatyta tvarka;

11.3. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis.

12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti LitPOS tvarkytojo VĮ „GIS-Centras“ vadovo įsakymu sudaroma: LitPOS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir LitPOS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

13. Valdymo grupės tikslas – pagal LitPOS saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti LitPOS veiklos tęstinumą.

14. Valdymo grupės sudėtis:

14.1. VĮ „GIS-Centras“ direktorius (Valdymo grupės vadovas);

14.2. VGTU Geodezijos instituto direktorius (Valdymo grupės vadovo pavaduotojas);

14.3. VĮ „GIS-Centras“ direktoriaus įsakymu paskirtas LitPOS duomenų valdymo įgaliotinis;

14.4. LitPOS saugos įgaliotinis;

14.5. LitPOS kibernetinio saugumo vadovas;

14.6. LitPOS administratorius;

14.7. kiti VĮ „GIS-Centras“ direktoriaus įsakymu paskirti darbuotojai, dirbantys pagal darbo sutartis.

15. Valdymo grupės funkcijos:

15.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų LitPOS veiklos tęstinumo valdymo klausimais priėmimas;

15.2. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

15.3. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

15.4. bendravimas ir bendradarbiavimas su LitPOS paslaugų gavėjais (t.y. LitPOS naudojančiais asmenimis);

15.5. finansinių ir kitų išteklių, reikalingų LitPOS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

15.6. LitPOS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

15.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

15.8. LitPOS veiklos atkūrimo priežiūra ir koordinavimas;

15.9. kitos Valdymo grupei pavestos funkcijos.

16. Atkūrimo grupės sudėtis:

16.1. VĮ „GIS-Centras“ Informacinių technologijų skyriaus vedėjas (Atkūrimo grupės vadovas);

16.2. VĮ „GIS-Centras“ Informacinių technologijų skyriaus sistemų administratorius (Atkūrimo grupės vadovo pavaduotojas);

16.3. LitPOS administratorius;

16.4. VGTU paskirtas LitPOS naudotojas;

16.5. kiti VĮ „GIS-Centras“ direktoriaus įsakymu paskirti darbuotojai, dirbantys pagal darbo sutartis.

17. Atkūrimo grupės funkcijos:

17.1. LitPOS tarnybinių stočių veikimo atkūrimo organizavimas;

17.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

17.3. LitPOS duomenų atkūrimo organizavimas;

17.4. LitPOS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

17.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

17.6. kitos Atkūrimo grupei pavestos funkcijos.

18. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

18.1. LitPOS naudotojai privalo nedelsdami žodžiu ar raštu pranešti LitPOS administratoriui apie elektroninės informacijos saugos (kibernetinį) incidentą. LitPOS naudotojai neturi teisės imtis kitų su incidentu susijusių veiksmų;

18.2. LitPOS administratorius, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Apie elektroninės informacijos saugos (kibernetinį) incidentą LitPOS administratorius, įvertinęs incidento reikšmingumą, raštu pagal kompetenciją informuoja LitPOS saugos įgaliotinį ir LitPOS kibernetinio saugumo vadovą. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją.

18.3. LitPOS kibernetinio saugumo vadovas nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Valdymo plano 4 priede nustatyta tvarka.

18.4. LitPOS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja LitPOS tvarkytojo VĮ „GIS-Centras“ vadovą;

18.5. LitPOS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (2 priedas), vadovauja Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

18.6. LitPOS administratorius atkuria LitPOS techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, LitPOS duomenis, LitPOS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas apie atliktus veiksmus informuoja LitPOS saugos įgaliotinį ir LitPOS kibernetinio saugumo vadovą;

18.7. LitPOS saugos įgaliotinis, LitPOS kibernetinio saugumo vadovas kartu su LitPOS administratoriumi organizuoja žalos LitPOS duomenims, LitPOS techninei, programinei įrangai vertinimą, koordinuoja LitPOS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

18.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už LitPOS valdytojo ir LitPOS tvarkytojo įstaigos ribų, LitPOS administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

19. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga pakeisti elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo, viešuosius pirkimus reglamentuojančių poįstatyminių teisės aktų (ar) ir LitPOS valdytojo ar LitPOS tvarkytojų patvirtintų dokumentų nustatyta tvarka.

20. Atsarginėms patalpoms, naudojamoms LitPOS veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:

20.1. patekimas į atsargines patalpas turi būti registruojamas Patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;

20.2. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

20.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

20.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis LitPOS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 10 minučių;

20.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

20.6. patalpoje nuolat turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema) bei palaikoma + 22 (± 5) ºC temperatūra.

21. Atsarginių patalpų, naudojamų LitPOS veiklai atkurti kilus elektroninės informacijos (saugos) incidentui vieta – LitPOS valdytojo buveinė.

22. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ir (ar) telefonu. Ne rečiau negu kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

23. Informacija apie LitPOS techninę ir programinę įrangą ir jos parametrus nurodyta Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo techninės ir programinės įrangos specifikacijoje.

24. Už LitPOS techninės ir programinės įrangos priežiūrą yra atsakingas LitPOS administratorius.

25. LitPOS administratorius parengia ir saugo:

25.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas LitPOS administratorius, minimalus LitPOS veiklai atkurti nesant LitPOS administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

25.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos LitPOS tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi būti lygiavertė pagrindinei Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo techninės ir programinės įrangos specifikacijai;

25.3. dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

25.4. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

25.5. dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis LitPOS duomenų kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.

26. Programinės įrangos laikmenos ir laikmenos su atsarginėmis LitPOS duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. LitPOS administratorius kartą per savaitę atsargines LitPOS duomenų kopijas perkelia į saugojimo vietą.

27. LitPOS saugos įgaliotinis ir LitPOS administratorius parengia, patvirtina ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.

28. LitPOS kibernetinio saugumo vadovas ne rečiau kaip kartą per mėnesį:

28.1. atlieka užfiksuotų kibernetinių incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

28.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

29. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinio) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių LitPOS duomenų kopijų atkuriami LitPOS duomenys.

30. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.

31. Pagal bandymų rezultatus LitPOS saugos įgaliotinis, LitPOS kibernetinio saugumo vadovas ir LitPOS administratorius parengia Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina VĮ „GIS-Centras“ direktorius.

32. LitPOS saugos įgaliotinis ir LitPOS kibernetinio saugumo vadovas nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

33.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. LitPOS saugos įgaliotinis kartu su LitPOS administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

33.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką LitPOS veiklai. Trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

33.3. ekonomiškumo – siekis pašalinti visus trūkumus taupiai naudojant turimus išteklius.

__________________________

Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano

1 priedas

LIETUVOS RESPUBLIKOS GLOBALINĖS PADĖTIES NUSTATYMO SISTEMOS NUOLATINIŲ STOČIŲ TINKLO

VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo veiksmai	Už Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimą atsakingi asmenys
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	LitPOS saugos įgaliotinis, LitPOS administratorius
2.1.1.	2.1.1.	1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	LitPOS saugos įgaliotinis, LitPOS administratorius
2.1.1.	2.1.1.	1.1.3. Priemonių plano įgyvendinimas	LitPOS saugos įgaliotinis, LitPOS administratorius
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	LitPOS saugos įgaliotinis, LitPOS administratorius
2.1.1.	2.1.1.	1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	LitPOS saugos įgaliotinis, LitPOS administratorius
	1.3. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	LitPOS saugos įgaliotinis, LitPOS administratorius
	2.1.1.		LitPOS saugos įgaliotinis, LitPOS administratorius
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	LitPOS saugos įgaliotinis, LitPOS administratorius
2.1.1.	2.1.1.	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	LitPOS saugos įgaliotinis
	2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	LitPOS saugos įgaliotinis
2.1.1.	2.3. Komunikacijų, sukeliančių pavojų, išjungimas, gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.3.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	LitPOS saugos įgaliotinis, LitPOS administratorius
3. Patalpų užgrobimas	3.1.Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos institucijos rekomendacijos	LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	LitPOS saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	LitPOS saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	LitPOS saugos įgaliotinis
	2.1.1.	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	LitPOS saugos įgaliotinis
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	LitPOS saugos įgaliotinis
2.1.1.	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	3.5.3. Žalą likviduojančių darbuotojų instruktavimas	LitPOS administratorius
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	4.1.2. Darbuotojų informavimas apie rekomendacijas	LitPOS saugos įgaliotinis
2.1.1.	4.2. LitPOS įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	LitPOS saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	LitPOS administratorius, LitPOS saugos įgaliotinis
	5.2. Kreipimasis į energijos tiekimo įmonę dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	LitPOS administratorius, LitPOS saugos įgaliotinis
		5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	5.3.2. Padarytos žalos įvertinimas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	5.3.3. Žalą likviduojančių darbuotojų instruktavimas	LitPOS administratorius, LitPOS saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	2.1.1.	6.1.2. Darbuotojų informavimas apie rekomendacijas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas, sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	LitPOS administratorius, LitPOS saugos įgaliotinis
	2.1.1.	6.2.2. Žalą likviduojančių darbuotojų instruktavimas	LitPOS saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	LitPOS administratorius, LitPOS saugos įgaliotinis
	7.2. Ryšio paslaugų teikėjo informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, apsaugančias nuo ryšio sutrikimų pasikartojimo	LitPOS administratorius, LitPOS saugos įgaliotinis
	7.3. Sutrikimo pašalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	LitPOS administratorius, LitPOS saugos įgaliotinis
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešti teisėsaugos institucijai, draudimo bendrovei apie įvykį	8.1. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	LitPOS administratorius, LitPOS saugos įgaliotinis
2.1.1.	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	LitPOS administratorius
2.1.1.	2.1.1.	8.2.2. Įsigytos įrangos diegimas	LitPOS administratorius, LitPOS saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	LitPOS administratorius, LitPOS saugos įgaliotinis LitPOS kibernetinio saugumo vadovas
2.1.1.	2.1.1.	9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	LitPOS administratorius, LitPOS saugos įgaliotinis LitPOS kibernetinio saugumo vadovas
	9.2. Darbuotojų elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti paskyrimas, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	LitPOS administratorius, LitPOS saugos įgaliotinis LitPOS kibernetinio saugumo vadovas
2.1.1.		9.2.2. Kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	LitPOS administratorius, LitPOS saugos įgaliotinis LitPOS kibernetinio saugumo vadovas
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų LitPOS duomenų atkūrimas	LitPOS administratorius
		10.2.1. Prarastų, iškraipytų ar sunaikintų LitPOS duomenų atkūrimo kontrolė	LitPOS duomenų valdymo įgaliotinis
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Valstybės įmonės Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ direktorius

__________________________

Eil. Nr.	Kibernetinis incidentas
1.	Kenkimo programinė įranga (angl. Malicious Software)	Kenkimo programinė įranga, kai darbo ar tarnybinės stotys aktyviai kontroliuojamos įsibrovėlių (pavyzdžiui, užpakalinės durys (angl. back door). Modernios kenkimo programinės įrangos (angl. advanced persistent threat, APT) aptikimas LitPOS. Kenkimo programinė įranga, trikdanti LitPOS kibernetinio saugumo priemonių darbą.	D¹
Kenkimo programinė įranga, kurios neaptinka LitPOS darbo stotyje veikianti antivirusinė programinė įranga. LitPOS veikianti kenkimo programinė įranga, kurią aptinka antivirusinė programinė įranga per reguliarų patikrinimą.	V²
LitPOS laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkimo programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga. Socialinės inžinerijos metodų naudojimas (manipuliavimas informacinės sistemos naudotojų emocijomis ir psichologija, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti LitPOS naudotoją atlikti grėsmę informacinei sistemai keliančius veiksmus, tačiau LitPOS naudotojas atpažįsta grėsmę ir neatlieka kenkimo programinę įrangą aktyvinančių veiksmų.	N³
2.	Įsilaužimas	Vykdoma vidinė LitPOS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta LitPOS (neskaitant kenkimo programinės įrangos), sukėlusi LitPOS veiklos sutrikimus. Piktybiniai veiksmai prieš LitPOS kibernetinio saugumo priemones.	D
Vykdoma vidinė LitPOS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta LitPOS infrastruktūroje.	V
3.	LitPOS perimetro žvalgyba	Vykdoma aktyvi (slaptažodžių parinkimas, bandymai išnaudoti pažeidžiamumus, kita) LitPOS perimetro žvalgyba ar įtartina veikla (neskaitant kenksmingos programinės įrangos), mėginama paveikti LitPOS kibernetinio saugumo priemones.	V
Vykdoma LitPOS perimetro priemonių žvalgyba (nebandant įsilaužti).	N
4.	LitPOS trikdymas	Veiksmas, ilgiau nei 4 valandoms sutrikdęs LitPOS veiklą.	D
Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) LitPOS veikla.	V
5.	Neteisėta veika	Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai.	V
6.	Vientisumo pažeidimas	LitPOS ar jo dalies pažeidimas, sutrikdantis LitPOS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti LitPOS naudotojų pasitikėjimą jais.	V

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. lapkričio 14 d.

įsakymu Nr. 3D-803

Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) naudotojų ir LitPOS administratoriaus įgaliojimus, teises ir pareigas bei saugaus duomenų ir informacijos teikimo LitPOS naudotojams kontrolės tvarką.

2. Šios Administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“, ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2018 m. gegužės 30 d. įsakymu Nr. 3D-338 (toliau – LitPOS saugos nuostatai).

3. Administravimo taisyklėse vartojamos sąvokos:

3.1. LitPOS valdytoja – Lietuvos Respublikos žemės ūkio ministerija.

3.2. LitPOS tvarkytojai – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ (toliau – VĮ „GIS-Centras“) ir Vilniaus Gedimino technikos universitetas.

3.4. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą LitPOS.

3.7. Kitos Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Administravimo taisyklės taikomos visiems LitPOS naudotojams, LitPOS administratoriui, LitPOS saugos įgaliotiniui, LitPOS kibernetinio saugumo vadovui, kurių prieigos prie LitPOS duomenų teisės paremtos LitPOS duomenų saugumo, stabilumo, operatyvumo principais.

5. LitPOS naudotojams prieiga prie LitPOS duomenų suteikiama vadovaujantis šiais principais:

5.1. LitPOS naudotojams prieiga turi būti suteikiama tik prie tų LitPOS duomenų ir tik tokia apimtimi, kuri reikalinga LitPOS naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. LitPOS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys LitPOS naudotojai;

5.3. prieiga prie LitPOS duomenų ir teisė ją keisti suteikiama tik atlikus LitPOS naudotojo atpažinimą ir patvirtinus jo tapatybę.

II SKYRIUS

LitPOS NAUDOTOJŲ ir LitPOS administratoriAUS

įgaliojimai, TEISĖS IR PAREIGOS

6. LitPOS naudotojai turi teisę:

6.1. naudotis tik tomis LitPOS funkcijomis bei LitPOS duomenimis, prie kurių prieigą jiems suteikė LitPOS administratorius;

6.2. gauti informaciją apie jų naudojamų LitPOS duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

6.3. kreiptis į LitPOS administratorių ar LitPOS saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio LitPOS;

6.4. LitPOS naudotojai turi teisę atlikti kitus veiksmus, numatytus LitPOS saugos politikos įgyvendinamuosiuose teisės aktuose.

7. LitPOS naudotojai privalo:

7.1. naudoti LitPOS duomenis tik tarnybinėms arba darbo funkcijoms atlikti;

7.2. nedelsiant pranešti LitPOS administratoriui apie LitPOS saugos politiką įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones;

7.3. užtikrinti jų naudojamų LitPOS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti LitPOS duomenų prieinamumo;

7.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su LitPOS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo LitPOS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

7.5. raštu susipažinti ir laikytis LitPOS saugos nuostatų, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano ir šių Administravimo taisyklių reikalavimų;

7.6. pranešti LitPOS administratoriui apie slaptažodžio užblokavimą ar užmiršimą;

7.7. LitPOS naudotojai privalo vykdyti kitas pareigas, nustatytas LitPOS saugos politikos įgyvendinamuosiuose teisės aktuose.

8. LitPOS naudotojui draudžiama:

8.1. leisti prisijungti prie LitPOS ne LitPOS naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

8.2. be priežiūros palikti kompiuterį neužrakintu ekranu;

8.3. platinti LitPOS esančią informaciją.

9. LitPOS administratorius turi teisę:

9.1. matyti visų LitPOS naudotojų atpažinties ir suteiktų teisių duomenis;

9.2. matyti LitPOS naudotojų su LitPOS duomenimis atliktus veiksmus;

9.3. atlikti užklausas LitPOS pagal pasirinktus paieškos kriterijus;

9.4. pateikti paklausimus LitPOS valdytojui ar LitPOS tvarkytojui dėl LitPOS naudotojų duomenų patikslinimo;

9.5. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

9.6. vykdyti LitPOS techninės priežiūros funkcijas.

10. LitPOS administratorius privalo:

10.1. registruoti naujus LitPOS naudotojus;

10.2. tvarkyti esamų LitPOS naudotojų duomenis;

10.3. periodiškai tikrinti, ar nėra nepatvirtintų LitPOS administratoriaus paskyrų;

10.4. tikrinti, ar nėra nepatvirtintų LitPOS naudotojų paskyrų; apie nepatvirtintas LitPOS naudotojų paskyras pranešti LitPOS kibernetinio saugumo vadovui;

10.5. tvarkyti LitPOS vidinius klasifikatorius, esančius LitPOS klasifikatorių funkciniame modulyje;

10.6. konsultuoti LitPOS naudotojus dėl LitPOS veikimo ir kitais su LitPOS susijusiais klausimais;

10.7. pagal kompetenciją užtikrinti nepertraukiamą LitPOS techninės ir sisteminės programinės įrangos veikimą;

10.8. dalyvauti atliekant LitPOS rizikos veiksnių įvertinimą, rengiant LitPOS rizikos veiksnių įvertinimo ataskaitą ir rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

10.9. atlikti LitPOS taikomų saugumo reikalavimų atitikties vertinimą.

11. LitPOS administratoriui draudžiama suteikti prieigos teises prie LitPOS duomenų ne LitPOS naudotojams.

12. LitPOS administratoriaus, LitPOS saugos įgaliotinio funkcijos reglamentuotos LitPOS saugos nuostatuose ir kituose LitPOS saugos politiką įgyvendinamuosiuose teisės aktuose.

13. LitPOS kibernetinio saugumo vadovo funkcijos reglamentuotos LitPOS saugos politiką įgyvendinamuosiuose teisės aktuose.

14. LitPOS administratorius turi prieigos prie LitPOS duomenų teisę (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, LitPOS naudotojų informacijos, prieigos teisių redagavimas ir kt.).

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO LitPOS NAUDOTOJAMS KONTROLĖS TVARKA

15. LitPOS administratorius yra atsakingas už LitPOS naudotojų registravimą, išregistravimą, prieigos prie LitPOS teisių suteikimą ir panaikinimą.

16. LitPOS administratorius LitPOS naudotojams suteikia unikalų prisijungimo prie LitPOS vardą ir laikiną slaptažodį, kurį išsiunčia LitPOS naudotojui elektroniniu paštu.

17. LitPOS paslaugų gavėjai (t.y. LitPOS naudojantys asmenys) (toliau – LitPOS paslaugų gavėjai), norėdami gauti prieigos prie LitPOS duomenų teisę, turi užsiregistruoti Lietuvos erdvinės informacijos portalo LitPOS teminėje srityje, t. y. užpildyti ir pateikti LitPOS tvarkytojui elektroninę registracijos formą. LitPOS paslaugų gavėjui, užpildžiusiam ir pateikusiam elektroninę registracijos formą, LitPOS tvarkytojas per 5 darbo dienas nuo šios registracijos pateikimo suteikia LitPOS paslaugų gavėjo prisijungimo vardą ir prieigos prie LitPOS duomenų teisę.

18. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. LitPOS kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, jeigu LitPOS naudotojas neturi galimybės iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių LitPOS naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

19. LitPOS dalys, patvirtinančios LitPOS naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

20. LitPOS naudotojai prisijungti prie LitPOS gali tik su LitPOS administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

21. LitPOS naudotojų prisijungimo prie LitPOS vardai ir slaptažodžiai saugomi Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų prisijungimo vardų ir slaptažodžių elektroninėje saugykloje (toliau – Saugykla).

22. Prieigą prie Saugyklos turi tik LitPOS administratorius. Duomenys Saugykloje yra šifruojami.

23. Slaptažodį LitPOS naudotojai, prisijungę prie LitPOS, turi teisę pasikeisti savarankiškai.

24. LitPOS naudotojo slaptažodžiui yra keliami šie reikalavimai:

24.1. slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

24.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

24.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

24.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

24.5. LitPOS naudotojas, pirmą kartą gavęs LitPOS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie LitPOS ir nedelsdamas slaptažodį pakeisti;

24.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. LitPOS naudotojui 5 kartus neteisingai įvedus slaptažodį, LitPOS sistema užsirakina ir LitPOS naudotojui 15 minučių neleidžiama prisijungti;

24.7. LitPOS naudotojas privalo saugoti slaptažodį ir jo neatskleisti;

24.8. LitPOS naudotojas, įtaręs, kad kiti asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

25. LitPOS administratoriaus slaptažodis:

25.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

25.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

25.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

26. LitPOS administratorius, iš LitPOS valdytojo ar LitPOS tvarkytojo gavęs rašytinį prašymą apriboti LitPOS naudotojo prieigos teises, nedelsdamas apriboja nurodyto LitPOS naudotojo prieigą prie LitPOS.

27. LitPOS naudotojui teisė dirbti su konkrečia elektronine informacija yra sustabdoma, kai LitPOS naudotojas nevykdo LitPOS funkcijų.

28. Pasibaigus darbo santykiams, LitPOS naudotojui panaikinama LitPOS paskyra.

29. Leistinas nuotolinio informacinės sistemos naudotojų prisijungimo prie informacinės sistemos būdas yra virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

30. LitPOS naudotojai, LitPOS administratorius, LitPOS kibernetinio saugumo vadovas ir LitPOS saugos įgaliotinis, pažeidę šių Administravimo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_________________________

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Eil. Nr. (pirmaeilis veiksmas)	Veikla	Atsakingi už Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) atkūrimą
1.	Kompiuterių tinklo veikimo atkūrimo organizavimas	LitPOS administratorius Atkūrimo grupė
2.	Tarnybinių stočių veikimo atkūrimo organizavimas	LitPOS administratorius Atkūrimo grupė
3.	Kompiuterizuotų darbo vietų veikimo atkūrimo organizavimas	LitPOS administratorius Atkūrimo grupė
4.	LitPOS duomenų bazės valdymo sistemos funkcijų atkūrimas	LitPOS administratorius
5.	LitPOS administravimo sistemos funkcijų atkūrimas	LitPOS administratorius
6.	LitPOS turinio valdymo sistemos funkcijų atkūrimas	LitPOS administratorius
7.	LitPOS metaduomenų sistemos funkcijų atkūrimas	LitPOS administratorius
8.	LitPOS informacinio turinio įkėlimo sistemos funkcijų atkūrimas	LitPOS administratorius